BlueNoroff akter pretnji prazni račune startapova koji se bave kriptovalutama.
Stručnjaci kompanije Kaspersky su otkrili niz napada aktera naprednih upornih pretnji (advanced persistent threat - APT) pod nazivom BlueNoroff koji napada mala i srednja preduzeća širom sveta, što je rezultovalo velikim gubicima kriptovaluta za žrtve.
Kampanja, nazvana SnatchCrypto, targetira različite kompanije koje se, po prirodi svog posla, bave kriptovalutama i pametnim ugovorima, DeFi, Blockchain i FinTech industrijom.
U najnovijoj kampanji BlueNoroff aktera, napadači su suptilno zloupotrebljavali poverenje zaposlenih u targetiranim kompanijama šaljući im potpuno opremljen Windows backdoor sa funkcijama za nadzor pod maskom ”ugovora" ili drugih poslovnih fajlova.
Kako bi na kraju ispraznio kripto novčanik žrtve, akter je razvio opsežne i opasne resurse: složenu infrastrukturu, eksploite, implantate malvera.
BlueNoroff je deo veće Lazarus grupe i koristi njihovu raznovrsnu strukturu i sofisticirane tehnologije napada. Lazarus APT grupa je poznata po napadima na banke i servere spojene na SWIFT, i čak se bavila i kreiranjem lažnih kompanija za razvoj softvera za kriptovalute. Prevareni klijenti su naknadno instalirali aplikacije koje su izgledale legitimno, da bi nakon nekog vremena primili backdoor ažuriranja.
Sada je ova grana Lazarus grupe prešla na napadanje kriptovalutinih startapova.
Budući da su većina preduzeća koja se bave kriptovalutama mali ili srednji startapovi, ona ne mogu da ulože puno novca u svoj interni bezbednosni sistem. Akter razume ovaj problem i zloupotrebljava ga koristeći razrađene šeme socijalnog inženjeringa.
Kako bi stekao poverenje žrtve, BlueNoroff akter se pretvara da je postojeća kompanija rizičnog kapitala. Istraživači kompanije Kaspersky su otkrili preko 15 startapova čiji su naziv brenda i imena zaposlenih zloupotrebljavani tokom SnatchCrypto kampanje. Stručnjaci kompanije takođe smatraju da prave kompanije nemaju nikakve veze sa ovim napadom ili i-mejlovima. Sajber kriminalci su sa razlogom izabrali sferu startapova u oblasti kriptovaluta: startapovi često primaju pisma ili fajlove iz nepoznatih izvora.
Na primer, investiciona kompanija im može poslati ugovor ili neke druge fajlove povezane sa poslovanjem. APT-akter koristi ovo kao mamac kako bi naveo žrtve da otvore fajl koji se nalazi u prilogu mejla - dokument sa omogućenim makroima.
Ukoliko bi dokument bio otvoren oflajn, fajl ne bi predstavljao ništa opasno - najverovatnije bi izgledao kao kopija nekakvog ugovora ili nekog drugog bezopasnog dokumenta. Ali ako je računar povezan na internet u trenutku otvaranja fajla, drugi dokument sa omogućenim makroima se preuzima na uređaj žrtve, postavljajući na njega malver.
Ova APT grupa ima različite metode u svom arsenalu inficiranja i sastavlja lanac infekcije u zavisnosti od situacije. Pored naoružanih Word dokumenata, akter takođe širi malver prerušen u ZIP Windows fajlove koji služe kao prečice. On šalje opšte informacije žrtve i Powershell agenta, koji zatim kreira potpuno opremljeni backdoor. Koristeći ovo, BlueNoroff postavlja ostale maliciozne alate za nadgledanje žrtve: keylogger i screenshot taker. Napadači zatim prate žrtve nedeljama i mesecima: prikupljaju pritiske na tastere i prate svakodnevne operacije korisnika, dok planiraju strategiju za finansijsku krađu. Nakon što su pronašli istaknutu metu koja koristi popularnu browser ekstenziju za upravljanje kripto novčanicima (na primer, ekstenziju Metamask), zamenjuju glavnu komponentu ekstenzije lažnom verzijom.
Prema istraživačima, napadači dobijaju notifikaciju kada otkriju velike transfere. Kada kompromitovani korisnik pokuša da prenese neka sredstva na drugi račun, oni presreću proces transakcije i ubacuju sopstvenu logiku. Kako bi dovršio započeto plaćanje, korisnik zatim klikne na „odobri" dugme. U tom trenutku, sajber kriminalci menjaju adresu primaoca i maksimiziraju iznos transakcije, u suštini uzimajući sav novac sa računa u jednom potezu.
Pročitajte ceo izveštaj o BlueNoroff akteru na Securelist.
Postanite deo SMARTLIFE zajednice na Viberu.